UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS
Facultad Regional Crdoba
Introduccin A finales del siglo XX, los sistemas informticos se han constituido en herramientas poderosas para administrar uno de los recursos ms importantes de una empresa: sus sistemas de informacin. La Informtica ho forma parte de la gestin integral de la empresa, por lo tanto, las normas estndares informticos deben estar sometidos a las normas estndares generales de la organi!acin. "ebido a la gran incidencia en el management empresarial, se efect#an Auditorias de $istemas, con el fin de asegurar la eficiencia de las organi!aciones, as% como la confiabilidad seguridad de sus sistemas de informacin. &n el siguiente traba'o se abordara la tarea de auditoria desde el enfo(ue de dos reas especificas: "esarrollo de )roectos o Aplicaciones &*plotacin. &n primer lugar, la Auditoria de Aplicaciones consiste en tratar de audar a planificar, preparar reali!ar auditorias de aplicaciones en funcionamiento, en cuanto al grado de cumplimiento de los ob'eti+os para los (ue las mismas fueron creadas. "e esta manera en consecuencia, se apoar el logro de los ob'eti+os organi!acionales de la manera mas satisfactoria. &n segundo lugar, la auditoria de e*plotacin debe asegurar el funcionamiento adecuado de sistemas informticos su actuali!acin. La deteccin oportuna de las debilidades del sistema permite me'orarlos racionali!ando los recursos. Antono!!i , -ernardis , Ferrera , Rodas . UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba Auditoria Informtica de Desarrollo de Proyectos o Aplicaciones
La funcin de "esarrollo es una e+olucin del llamado Anlisis )rogramacin de $istemas Aplicaciones. A su +e!, engloba muchas reas, tantas como sectores informati!ables tiene la empresa. /na Aplicacin recorre las siguientes fases: )re re(uisitos del /suario 0#nico o plural1 del entorno Anlisis funcional "ise2o Anlisis orgnico 0)reprogramacin )rogramacin1 )ruebas &ntrega a &*plotacin alta para el )roceso. &stas fases deben estar sometidas a un e*igente control interno, caso contrario, adems del disparo de los costes, podr producirse la insatisfaccin del usuario. Finalmente, la auditoria deber comprobar la seguridad de los programas en el sentido de garanti!ar (ue los e'ecutados por la ma(uina sean e*actamente los pre+istos no otros. /na auditoria de Aplicaciones pasa indefectiblemente por la obser+acin el anlisis de cuatro consideraciones: Revisin de las metodologas utilizadas: $e anali!aran 3stas, de modo (ue se asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin el fcil mantenimiento de las mismas. Control Interno de las Aplicaciones: se debern re+isar las mismas fases (ue presuntamente han debido seguir el rea correspondiente de "esarrollo: 4 &studio de 5ialidad de la Aplicacin. Importante para Aplicaciones largas, comple'as caras. 4 "efinicin Lgica de la Aplicacin. $e anali!ar (ue se han obser+ado los postulados lgicos de actuacin, en funcin de la metodolog%a elegida la finalidad (ue persigue el proecto. 4 "esarrollo 63cnico de la Aplicacin. $e +erificar (ue 3ste es ordenado correcto. Las herramientas t3cnicas utili!adas en los di+ersos programas debern ser compatible. 4 "ise2o de )rogramas. "ebern poseer la m*ima sencille!, modularidad econom%a de recursos. 4 73todos de )ruebas. $e reali!arn de acuerdo a las 8ormas de la Instalacin. $e utili!arn 'uegos de ensao de datos, sin (ue sea permisible el uso de datos reales. 4 "ocumentacin. Cumplir la 8ormati+a establecida en la Instalacin, tanto la de "esarrollo como la de entrega de Aplicaciones a &*plotacin. 4 &(uipo de )rogramacin. "eben fi'arse las tareas de anlisis puro, de programacin las intermedias. &n Aplicaciones comple'as se producir%an +ariaciones en la composicin del grupo, pero estos debern estar pre+istos. Satisfaccin de usuarios: /na Aplicacin t3cnicamente eficiente bien desarrollada, deber considerarse fracasada si no sir+e a los intereses del usuario (ue la Antono!!i , -ernardis , Ferrera , Rodas 9 UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba solicit. La a(uiescencia del usuario proporciona grandes +enta'as posteriores, a (ue e+itar reprogramaciones disminuir el mantenimiento de la Aplicacin. Control de Procesos y Ejecuciones de Programas Crticos: &l auditor no debe descartar la posibilidad de (ue se est3 e'ecutando un mdulo (ue no se corresponde con el programa fuente (ue desarroll, codific prob el rea de "esarrollo de Aplicaciones. $e ha de comprobar la correspondencia biun%+oca e*clusi+a entre el programa codificado su compilacin. $i los programas fuente los programa mdulo no coincidieran se podr%a pro+ocar, desde errores de bulto (ue producir%an gra+es altos costes de mantenimiento, hasta fraudes, pasando por acciones de sabota'e, espiona'e industrial4informati+o, etc. )or ende, ha normas mu r%gidas en cuanto a las Librer%as de programas: a(uellos programas fuente (ue haan sido dados por bueno por "esarrollo, son entregados a &*plotacin con el fin de (ue 3ste: 4 Copie el programa fuente en la Librer%a de Fuentes de &*plotacin, a la (ue nadie ms tiene acceso 4 Compile monte ese programa, depositndolo en la Librer%a de 7dulos de &*plotacin, a la (ue nadie ms tiene acceso. 4 Copie los programas fuente (ue les sean solicitados para modificarlos, arreglarlos, etc. en el lugar (ue se le indi(ue. Cual(uier cambio e*igir pasar nue+amente por el punto .. Ciertamente, ha (ue considerar las cotas de honestidad e*igible a &*plotacin. Adems de su presuncin, la informtica se ha dotado de herramientas de seguridad sofisticadas (ue permiten identificar la personalidad del (ue accede a las Librer%as. 8o obstante, adems, el e(uipo auditor inter+endr los programas cr%ticos, compilando lin; editando nue+amente los mismos para +erificar su biuni+ocidad. A$)&C6<$ A R&5I$AR &8 /8A A)LICACI=8 1 !a documentacin del sistema &s importante re+isar la situacin en (ue se encuentra toda la documentacin bsica del sistema, como los manuales de procedimientos, de usuario de anlisis si estn acordes con las necesidades de la dependencia. " #peratividad del sistema $e debe +erificar (ue el sistema efect#e en cada etapa de su ciclo las especificaciones establecidas en el Anlisis "ise2o se cumpla con el procedimiento aprobado para el sistema. "ebe anali!arse obser+ar tambi3n, si realmente tiene los re(uisitos de operati+idad (ue hagan al sistema eficiente efica!. $ Ciclo de vida $e debe re+isar todo el ciclo del sistema: >eneracin del dato Ingreso del dato 6ransmisin del dato )rocesamiento del dato Antono!!i , -ernardis , Ferrera , Rodas ? UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba % Actualizacin de arc&ivos "ebe +erificarse (ue e*istan registros rutinas de control (ue con cierta frecuencia de tiempo o de per%odo, determine si e*iste coherencia entre la cantidad de registros +alores de totales de los archi+os. ' Integridad de los datos "ebe asimismo, en forma e*terna, establecerse procedimientos de comparacin de la informacin producida por el sistema contra otras informaciones disponibles, para efectos de determinar la confiabilidad de la informacin. &l aspecto ms importantes de todo el sistema son los resultados, por lo (ue al re+isar el sistema debe +erificarse (ue los resultados cumplan con las especificaciones del dise2o del sistema, lo cual debe comprobarse mediante 'uegos de datos de pruebas especialmente preparados, (ue prueben todas las posibilidades de las entidades, datos situaciones. ( Efectividad del sistema /no de los aspectos ms importantes del sistema, es (ue sea efecti+o en conseguir los ob'eti+os beneficios esperados, por lo (ue se debe indagar a los usuarios sobre el grado de satisfaccin confiabilidad del sistema, (ue beneficios han sido conseguidos los moti+os (ue impiden lograr otros, si los costos de operacin del sistema se encuentran dentro de lo planificado (ue me'oras se han conseguido con tal reduccin, (ue tanto ha me'orado la precisin de la informacin en (ue medida se ha completado bsicamente, cuanto se redu'o el tiempo de atencin al cliente cual fue el incremento de producti+idad para la institucin poseedora del mismo. ) Seguridad del sistema "ebe comprobarse (ue sistema cuente con los siguientes tipos de seguridad: $eguridad de acceso a la informacin $eguridad de acceso a los programas $eguridad ante contaminacin de +irus * Sistema de respaldo )re+iendo posibles problemas con el soft@are es necesario (ue el e(uipo central cuente con caracter%sticas t3cnicas de respaldo como: Listados diarios de informacin, lo cual permitir%a seguir operando por lo menos manualmente en casos e*tremos. -ac;ups de la -ase de "atos, deber%an efectuarse por cada cambio de turno de traba'o o como m%nimo al final del d%a, debiendo inclusi+e el sistema haber sido programado para (ue e*i'a efectuarse el bac;up respecti+o. Copia de respaldo de los programas fuentes ob'etos de las aplicaciones, de la plataforma de soft@are de las bases de datos completas de la Institucin 0hasta de tres per%odos anteriores1, debi3ndose guardar una copia en el local de la Institucin otra adicional en otro local para afrontar siniestros o desastres (ue pudieran ocurrir. Antono!!i , -ernardis , Ferrera , Rodas A UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba + Audita,ilidad del sistema &n general, todo sistema (ue se encuentra instalado, debe contar con +ol#menes de informacin como: 7anual de usuario 7anual de procedimientos de los sistemas "escripcin gen3rica "iagramas de entrada, archi+os, salida $alidas Fecha de instalacin de los sistemas )roecto de instalacin de nue+os sistemas )R<-L&7B6ICA "& LA A/"I6<RIA "& /8A A)LICACI=8 I8F<R7A6ICA 8o registrar fielmente la informacin considerada de inter3s en torno a las operaciones lle+adas a cabo por una determinada organi!acin: magnitudes f%sicas o econmicas, fechas Co 'ur%dicas (ue inter+ienen o guardan relacin con cada operacin, nombres, direcciones, etc. Impedir la reali!acin de cuantos procesos de calculo edicin sean necesarios a partir de la informacin registrada, pudiendo por tanto almacenar automticamente mas informacin (ue la de partida, aun(ue siempre basada en a(uella. Imposibilidad de dar respuesta a consultas de todo tipo sobre la informacin almacenada, dise2adas en contenido forma para dar cobertura a las necesidades ms comunes constatadas. 8o generar informes (ue sir+an de auda para cual(uier finalidad de interes en la organi!acin, presentando la informacin adecuada. )osibilidad de fallo en cual(uiera de los elementos (ue inter+ienen en el proceso informtico: soft@are m#ltiple perteneciente a diferentes firmas, ordenador central dispositi+os perif3ricos, transmisin de datos 0ser+idores, mdems, l%neas de comunicaciones, etc.1 constitue otra fuente de posibles riesgos. La cone*in cada +e! mas generali!ada de las empresas a entornos abiertos como Internet multiplica los riesgos (ue amena!an la confidencialidad e integridad de la informacin de nuestros sistemas. )ara cada una de ellas se habr debido estudiar las posibles medidas tendientes a eliminar los riesgos (ue entra2an o, cuando menos, reducir la probabilidad de su materiali!acin hasta ni+eles ra!onablemente asumibles, siempre teniendo en cuenta el costo de tales medidas. "ichas medidas son fundamentalmente medidas de control interno (ue consisten en los procedimientos para +erificar, e+aluar tratar de garanti!ar (ue DtodoE funciona como se espera: de acuerdo con las pol%ticas, directrices, normas procedimientos establecidos en los diferentes mbitos de responsabilidad. &n el terreno de una aplicacin informtica, el control interno se materiali!a fundamentalmente en controles de dos tipos: Antono!!i , -ernardis , Ferrera , Rodas F UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba Controles manuales: lo reali!an el personal del rea usuaria. Controles automticos: incorporados a los programas de la aplicacin (ue sir+an para tratar de asegurar (ue la informacin se registre mantenga completa e*acta, los procesos de todo tipo sobre la misma sean correctos su utili!acin por parte de los usuarios respete los mbitos de confidencialidad establecidos permita en practica principios generales de control interno como referente a la segregacin de funciones. Ambos controles, seg#n su finalidad, se suelen clasificar en: Controles )re+enti+os: tratan de audar a e+itar la produccin de errores a base de e*igir el a'uste de los datos introducidos a patrones de formato estructura, pertenencia a una lista de +alores +alidos o a un fichero maestro, rango entre l%mites determinados, incorporacin de d%gitos de control en datos cla+e , en general, cual(uier criterio (ue aude a asegurar la correccin formal de los datos. Controles detecti+os: tratan de descubrir a errores (ue no haa sido posible e+itar. Controles correcti+os: tratan de asegurar (ue se subsanen todos los errores identificados mediante controles detecti+os. En la Auditoria de Aplicacin se trata de realizar una revisin de la eficacia del funcionamiento de los controles dise-ados para cada uno de los pasos de la misma frente a los riesgos .ue tratan de eliminar o minimizar/ como medios para asegurar la fia,ilidad/ seguridad/ disponi,ilidad y confidencialidad de la informacin gestionada por la aplicacin G&RRA7I&86A$ "& /$< 7A$ C<7/8 &8 LA A/"I6<RIA "& /8A A)LICACI=8 "ebido a la tremenda e+olucin de las tecnolog%as, en lo referente a los sistemas de informacin, es (ue el personal de auditoria interna en particular a los especialistas en la Auditoria Informtica estn obligados a reali!ar un esfuer!o considerable de formacin. &ste reto debe ser asumido por la direccin de Auditoria, (ue debe impulsar la respuesta adecuada al mismo, recogida en un plan de formacin, (ue inclua la atencin a las nue+as tendencias preocupaciones. Las herramientas mas com#nmente utili!adas en la Auditoria de Aplicacin Informtica son: Entrevistas "eben cumplir una serie de re(uisitos: Las personas a entre+istar deben ser a(uellas (ue ms puedan aportar al propsito pretendido. La entre+ista debe ser preparada con rigor de cara a sacar el m*imo partido de ella. )ara ello es indispensable escribir el guin de temas apartados a tratar para e+itar (ue (uede sin tratar alg#n asunto de inter3s. Antono!!i , -ernardis , Ferrera , Rodas H UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba Ga de ser concertada con los interlocutores con antelacin suficiente, informndoles el moti+o las materias a tratar en ella, la duracin apro*imada pre+ista solicitando la preparacin de la documentacin o informacin (ue pueda ser necesario aporten durante la misma: no debe faltar la in+itacin a colaborar con cuantas sugerencias estimen oportuno, no solo sobre el propio ob'eto de la entre+ista sino tambi3n con miras ms amplias en relacin con el proceso global desarrollado por la organi!acin la aplicacin informtica (ue apoa el proceso. Las 'efaturas de las personas a entre+istar deben estar informadas de las actuaciones pre+istas: en general ser positi+o (ue sea el propio 'efe (uien comuni(ue al interesado la necesidad de participar en la auditoria. "urante el desarrollo de la entre+ista, el auditor tomara las anotaciones imprescindibles: lo ms pr*imo posible a la finali!acin de la entre+ista el auditor debe repasar sus anotaciones, completando con detalles (ue pueda recordar a(uellas (ue pudieran haber (uedado esbo!adas, refle*ionando sobre las posibles implicaciones de las no+edades o singularidades (ue el interlocutor haa podido aportar. Encuestas )ueden ser de utilidad tanto para audar a determinar el alcance ob'eti+os de la auditoria como para la materiali!acin de ob'eti+os relacionados con el ni+el de satisfaccin de los usuarios. La maor%a de los re(uisitos enumerados para las entre+istas son tambi3n de aplicacin para las encuestas: $i ha (ue preparar un cuestionario (ue pueda ser contestado con la maor rapide! a base de marcar las respuestas entre las posibles. Con+iene (ue todas las preguntas +aan seguidas de un espacio destinado a obser+aciones, no solo las (ue soliciten descripcin cuando la respuesta haa podido ser D<trosE, caso de eleccin entre +arias alternati+as. Al final del cuestionario ha (ue solicitar sugerencias u obser+aciones abiertas, me'or en pagina e*clusi+a para ello, (ue pueda ser fotocopiada por (uienes necesiten mas espacio para sus comentarios. Aun(ue no puede ni debe e*igirse la identificacin personal del encuestado, si debe hacerse de la organi!acin a la (ue pertenece. $in embargo si puede in+itarse a (ue se identifi(ue (uien no tenga ning#n incon+eniente en ello, lo (ue permitir%a contactos enri(uecedores si la encuesta contestada plantea asuntos de inter3s. Observaciones del trabajo realizado por los usuarios Aun(ue por otros medios puede llegarse a comprobar (ue la aplicacin funciona con garant%as de e*actitud fiabilidad, es con+eniente obser+ar cmo alg#n usuario hace uso de a(uellas transacciones ms significati+as por su +olumen o riesgo: puede audar a detectar (ue la eficiencia no est3 en el ni+el optimo: no es infrecuente (ue un auditor e*perimentado identifi(ue me'oras en este tipo de obser+aciones: desde carencias del usuario o +icios ad(uiridos (ue puedan denotar falta de formacin, hasta me'oras de dise2o (ue puedan aumentar la agilidad producti+idad en el uso de la aplicacin: recomendaciones de opciones o +alores propuestos por defecto, simplificacin de pasos, etc. Antono!!i , -ernardis , Ferrera , Rodas I UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba Pruebas de conformidad $on actuaciones orientadas espec%ficamente a comprobar (ue determinados procedimientos, normas o controles internos se cumplen o funcionan de acuerdo con lo pre+isto esperado, seg#n lo descrito en la documentacin oportuna. La comprobacin debe lle+ar a la e+idencia a tra+3s de la inspeccin de los resultados producidos: registros, documentos, conciliaciones, etc. Co obser+acin directa del funcionamiento de un control ante pruebas especificas de su comportamiento. La e+idencia de incumplimiento puede ser puesta de manifiesto a tra+3s de informes de e*cepcin. Los testimonios de incumplimiento no implican e+idencia pero, si parten de +arias personas, es probable (ue la organi!acin asuma como +alidos dichos testimonios por lo tanto las consecuencias (ue de los mismos pudieran deri+arse de cara a posibles recomendaciones, ahorrando esfuer!os para tratar de conseguir su confirmacin documental. Pruebas substantivas o de validacin <rientadas a detectar la presencia o ausencia de errores o irregularidades en procesos, acti+idades, transacciones o controles internos integrados en ellos. &stn especialmente indicadas en situaciones en las (ue no ha e+idencia de (ue e*istan controles internos rele+antes, suficientes como para garanti!ar el correcto funcionamiento del proceso o elemento considerado. 6odo tipo de error o incidencia imaginable puede ser ob'eto de in+estigacin en esta clase de pruebas. &n el mbito de la auditoria de una aplicacin informtica, irregularidades de di+ersa %ndole (ue pueden afectar a las transacciones: 4 6ransacciones omitidas, no registradas en el sistema. 4 "uplicadas, registradas mas de una +e!. 4 Ine*istentes indebidamente incluidas. 4 Registradas sin contar con las autori!aciones establecidas. 4 Incorrectamente clasificadas o contabili!adas en cuentas diferentes a los procedentes. 4 6ransacciones con informacin errnea, desde su origen o por alteracin posterior, (ue no refle'a la realidad. Infinidad de recursos pueden ser utili!ados para detectar indicios de posibles errores: indicios cua presencia deber lle+ar a profundi!ar en la in+estigacin para constatar la e*istencia real de anomal%as. &'ecucin manual, normalmente se aplica sobre muestras, estad%sticas no estad%sticas. 4 )ara las primeras e+identemente son de aplicacin las t3cnicas de muestreo estad%stico, (ue debern ser respetadas para el calculo del tama2o de las muestras su seleccin en funcin del ni+el de significacin error m*imo con (ue interese traba'ar en cada caso. 4 Las muestras no estad%sticas, dirigidas, basaran la seleccin en la b#s(ueda de las operaciones con maor probabilidad de error Co consecuencias ms gra+es, pre+io Antono!!i , -ernardis , Ferrera , Rodas J UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba anlisis de las condiciones de la informacin disponible (ue permitan componer un indicador de priori!acin, asignando puntuaciones al cumplimiento de determinadas condiciones. Uso del ordenador &l uso de ordenadores constitue una de las herramientas ms +aliosas en la reali!acin de la auditoria de una aplicacin informtica. Los ordenadores pueden ser personales, con los (ue el auditor informtico debe estar familiari!ado mane'ando con soltura las t3cnicas de edicin de te*tos presentaciones, ho'as de calculo, gestor de bases de datos, correo electrnico, etc., u ordenadores sobre los (ue se e*plota la aplicacin ob'eto de la auditoria. &*isten en el mercado infinidad de productos de soft@are concebidos para facilitar la tarea del auditor: herramientas (ue permiten el acceso generali!ado a la informacin contenida en ficheros bases de datos de forma transparente para el usuario con independencia de las caracter%sticas de organi!acin modo de almacenamiento. $e pueden obtener resultados similares haciendo uso de herramientas disponibles en la organi!acin no necesariamente dise2adas para funciones de auditoria. Contando con una herramienta de interrogacin, un lengua'e $KL, se puede acceder a la informacin seleccionar la (ue interese: su proceso posterior a tra+3s de un gestor de base de datos, tipo ACC&$$ o similar, ofrece un potencial de tratamiento prcticamente ilimitado. Las pistas de auditoria de (ue est3 pro+ista la aplicacin debe constituir un apoo importante a la hora de utili!ar el ordenador para detectar situaciones o indicios de posible error. Ga (ue considerar la posibilidad de utili!ar la propia aplicacin, aplicando 'uegos de ensao o transacciones ficticias preparadas por los auditores, para +erificar la eficacia de los controles implantados. &6A)A$ "& LA A/"I6<RIA "& /8A A)LICACI=8 I8F<R7A6ICA Recoida de informacin y documentacin sobre la aplicacin Reali!amos un estudio preliminar en el (ue recogemos toda a(uella informacin (ue nos puede ser #til para determinar los puntos d3biles e*istentes a(uellas funciones de la aplicacin (ue puedan entra2ar riesgos. A tra+3s de entre+istas con personal de e(uipos responsables de la aplicacin, tanto desde la organi!acin usuaria como la de $istemas de Informacin, se inicia el proceso de recopilacin de informacin documentacin (ue permitir profundi!ar en su conocimiento hasta ni+eles de e*igencia necesarios para la reali!acin del traba'o. &l primer reto con el (ue nos encontramos es el de identificar las personas mas adecuadas, en cada uno de los mbitos de organi!acin, para poder transmitir al responsable de la auditoria el conocimiento ms amplio posible de la aplicacin, sus fortale!as, posibles debilidades, riesgos e in(uietudes suscitadas en torno a ella. Identificadas dichas personas se intenta crear un ambiente de colaboracin, con el fin de (ue transmitan al e(uipo auditor su +isin personal de la situacin, aportando cuantas Antono!!i , -ernardis , Ferrera , Rodas L UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba sugerencias estimen de inter3s, adems de suministrar la documentacin (ue se les solicite est3n en disposicin de proporcionar. )ara cubrir esta etapa del traba'o de auditoria resulta #til confeccionar unas gu%as (ue nos permitan seguir una determinada pauta en las primeras entre+istas contengan la relacin de documentos a solicitar, todos a(uellos (ue auden a: Ad(uirir una primera +isin global del sistema: descripcin general de la aplicacin, )lan de $istemas de la empresa, 7anual de /suario, etc. Conocer la organi!acin los procedimientos de los ser+icios (ue utili!an la aplicacin, bases de la organi!acin de la separacin de funciones, grado de participacin de los usuarios en el desarrollo en las pruebas de la aplicacin, medidas generales de control 0proteccin f%sica, proteccin lgica1. "escribir el entorno en el (ue se desarrolla la aplicacin: conocer recursos de ordenador central asignados, numero de mini o micro ordenadores asignados total o parcialmente a la aplicacin, cantidad de recursos perif3ricos asignados, configuracin de la red de las l%neas de comunicaciones usadas, etc. &ntender el entorno de Dsoft@areE bsico de la aplicacin, identificando las seguridades (ue ofrece los riegos inducidos. Conocer las condiciones de seguridad de (ue dispone la aplicacin: controles (ue incorpora, definicin de perfiles de acceso a los recursos a la aplicacin, e*istencia de pistas de auditoria, grado de automati!acin, documentacin. Resulta con+eniente (ue el auditor solicite los documentos formalmente, facilitando su relacin (ue estos le sean suministrados en soporte informati+o en la medida de lo posible. Determinacin de los objetivos y alcance de la auditor!a &l e*amen de los documentos recopilados la re+isin de los temas tratados a lo largo de las entre+istas mantenidas deben permitirle al auditor establecer sus propuestas de ob'eti+os de la auditoria de la aplicacin un plan detallado del traba'o a reali!ar. $e debe desear (ue los ob'eti+os propuestos sean consensuados con el e(uipo responsable de la aplicacin en la organi!acin usuaria. &n la preparacin del plan de traba'os se debe tratar de transmitir: !a planificacin de los tra,ajos y el tiempo a emplear, orden en (ue se e*aminaran los diferentes aspectos, centros de traba'o en (ue se +an a desarrollar las pruebas, cargas de tiempos asignacin de los traba'os entre los diferentes colaboradores del e(uipo. las &erramientas y m0todos/ entre+istas con los usuarios los informticos, ser+icios (ue se +an a auditar, documentos (ue ha (ue obtener, etc. El programa de tra,ajo detallado, adaptado a las peculiaridades de cada aplicacin, pero tratando de seguir un es(uema tipo. "esarrollo de temas como: 4 modos de captura +alidacin 4 soportes de los datos a capturar 4 controles sobre los datos de entrada 4 tratamiento de errores 4 etc. Antono!!i , -ernardis , Ferrera , Rodas .M UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba 1ests de confirmacin/ tests so,re los datos y los resultados, a(uellos (ue consideramos necesarios para asegurar (ue los controles funcionan como se han descrito pre+isto, (ue los controles internos son aplicados. Planificacin de la auditoria La auditoria de una aplicacin informtica debe ser ob'eto de una planificacin cuidadosa. &s de crucial importancia acertar con el momento mas adecuado para su reali!acin: 4 )or una parte no con+iene (ue coincida con el periodo de su implantacin, en (ue los usuarios no dominan toda+%a la aplicacin estn mas agobiados con la tarea diaria. 4 )or otra parte el retraso e*cesi+o en el comien!o de la auditoria puede alargar el periodo de e*posicin a riesgos superiores (ue pueden deben ser aminorados como resultado de ella. $e recomiendan periodos entre A J meses desde el inicio de la implantacin. Ga (ue establecer el mbito de actuacin: se debe delimitar el campo de actuacin de la maor parte de las pruebas a reali!ar a un reducido numero de centros de traba'o de campo. "ebe conseguirse cuanto antes las autori!aciones necesarias para (ue el personal de auditoria, (ue esta pre+isto participe en el traba'o, pueda acceder a la aplicacin a las herramientas de usuario. $e solicitar como perfil de auditor, a(uel (ue ofre!ca las maores posibilidades de consultas. "rabajo de campo# informe e implantacin de mejoras La etapa de reali!acin del traba'o de campo consiste en la e'ecucin del programa de traba'o establecido. &+identemente, los resultados (ue se +an obteniendo pueden lle+ar a a'ustar el programa en funcin de dichos resultados, (ue pueden aconse'ar ampliar la profundidad de algunas pruebas, a cometer otras no pre+istas concluir alguna antes de su final. &n la etapa de redaccin del informe de la auditoria, (ue recoger las caracter%sticas del traba'o reali!ado sus conclusiones recomendaciones o propuestas de me'ora. &n cuanto a la etapa de implantacin de las me'oras identificadas en la auditoria, la situacin optima a alcan!ar es conseguir (ue la organi!acin auditada asuma las propuestas de actuacin para implantar las recomendaciones como ob'eti+os de la organi!acin: 3sta es la me'or se2al de +aloracin positi+a por parte de una organi!acin a un traba'o de auditoria. Antono!!i , -ernardis , Ferrera , Rodas .. UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba Auditoria Informtica de E$plotacin $I$6&7A$ "& I8F<R7ACI=8 &n un sentido amplio se puede considerar en $istema de Informacin 0$I1 como un con'unto de componentes (ue interact#an para (ue la empresa pueda alcan!ar sus ob'eti+os satisfactoriamente. $eg#n el proecto Cobit los componentes o recursos de un $I son los siguientes: 2atos &n general se consideraran datos tanto los estructurados como los no estructurados, las imgenes, los sonidos, etc. Aplicaciones $e incluen las aplicaciones manuales las informticas. 1ecnologa &l soft@are el hard@are: los sistemas operati+os: los sistemas de gestin de bases de datos: los sistemas de red, etc. Instalaciones &n ellas se ubican se mantienen los sistemas de informacin. Personal Los conocimientos espec%ficos (ue ha de tener el personal de los sistemas de informacin para planificarlos, organi!arlos, administrarlos gestionarlos. &stos recursos de los sistemas de informacin se han de utili!ar, de forma (ue permitan la eficacia la eficiencia de la empresa: (ue los datos financieros elaborados por su sistema de informacin muestren una imagen fiel de la misma (ue la empresa cumpla la legislacin +igente. )or otra parte el sistema debe asegurar la confidencialidad de sus datos, aspecto este ultimo contemplado en la legislacin +igente. )ara hacer el seguimiento comprobar (ue el sistema de informacin esta actuando como es percepti+o, este habr de disponer de un control interno (ue pre+enga los e+entos no deseados o en su defecto los detecte los corri'a. &s con+eniente recordar (ue el resultado de la auditoria parcial de un sistema de informacin no se puede e*trapolar al con'unto del sistema. &l funcionamiento inadecuado de alguno 0 o algunos1 de los procesos recursos (ue inter+ienen en otras partes del sistema 0subsistemas1 puede in+alidar el sistema de informacin. CAR6A "& &8CAR>< La responsabilidad del traba'o de auditoria debe (uedar recogida en un contrato o carta de encargo antes de comen!ar su reali!acin. &n ese documento debe (uedar refle'ado de la forma mas clara posible, entre otros aspectos, cual ser el alcance del traba'o del auditor. )LA8IFICACI=8 $eg#n la 8orma >eneral numero H de I$ACA las auditorias de los sistemas de informacin deben planificarse super+isarse para tener la seguridad de (ue los ob'eti+os de las mismas se alcan!an se cumplen. Antono!!i , -ernardis , Ferrera , Rodas .9 UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba &n la planificacin de la auditoria +amos a considerar tres fases: .. )lanificacin estrat3gica. 9. )lanificacin administrati+a. ?. )lanificacin t3cnica. Planificacin Estrat%ica &s una re+isin global (ue permite conocer la empresa, el $I su control interno con la intencin de hacer una primera e+aluacin de riesgos. $eg#n los resultados de esa e+aluacin se establecern los ob'eti+os de la auditoria se podr determinar su alcance las pruebas (ue haan de aplicarse, as% como el momento de reali!arlas. )ara lle+ar a cabo esta tarea es necesario conocer entre otros aspectos los siguientes: Las caracter%sticas de los e(uipos informticos. &l sistema o los sistemas operati+os. Caracter%sticas de los ficheros o de las bases de datos. La organi!acin de la empresa. La organi!acin del ser+icio de e*plotacin. Las aplicaciones (ue el $I de la empresa (ue se este auditando o (ue se +aa a auditar est3n en e*plotacin. &l sector donde opera la empresa. Informacin comercial. La informacin puede obtenerse: a1 7ediante entre+istas confirmaciones: Con los responsables de e*plotacin. Con los responsables del plan de contingencias. Con los usuarios. Con los pro+eedores de soft@are hard@are. b1 Inspeccionando la siguiente documentacin: Informes papeles de traba'o de auditorias anteriores. Las normas procedimientos de la empresa relacionados con la e*plotacin del sistema de informacin. Los planes de contingencias. Agenda de traba'o. Instrucciones sobre el encendido apagado de los e(uipos. Contratos de mantenimiento con otras empresas. )rocedimientos de emergencia. Instrucciones sobre seguridad f%sica lgica. Instrucciones sobre la separacin de las bibliotecas de desarrollo produccin. Antono!!i , -ernardis , Ferrera , Rodas .? UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba /na muestra representati+a de las instrucciones operati+as de las aplicaciones mas importantes donde se incluan: fecha, entradas, tiempo de proceso, mensa'es de errores, instrucciones para finali!ar tareas errneas diarios de operaciones. Clasificacin de los controles &n la auditoria informtica se ha distinguido, tradicionalmente, entre controles generales de las aplicaciones. Los Controles >enerales son una parte del entorno general de control son a(uellos (ue afectan, en un centro de proceso electrnico de datos, a toda la informacin por igual a la continuidad de este ser+icio en la entidad. La debilidad o ausencia de estos controles pueden tener un impacto significati+o en la integridad e*actitud de los datos. 6ambi3n se consideran controles generales a(uellos relacionados con la proteccin de los acti+os: la informacin resultante, los elementos f%sicos del hard@are el soft@are 0programas sistemas operati+os1. Los Controles de Aplicaciones son a(uellos relacionados con la captura, entrada registro de datos en un sistema informtico, as% como los relacionados con su procesamiento, calculo salida de la informacin su distribucin. a1 Controles >enerales Los controles generales se pueden clasificar en las siguientes categor%as: .. Controles <perati+os de <rgani!acin: $egregacin de funciones entre el ser+icio de informacin los usuarios. &*istencia de autori!acin general en lo (ue respecta a la e'ecucin a las transacciones del "epartamento. $egregacin de funciones en el seno del $er+icio de Informacin. 9. Controles sobre el desarrollo de programas su documentacin: Reali!acin de re+isiones, pruebas aprobacin de los nue+os sistemas. Controles de las modificaciones de los programas. )rocedimientos de documentacin. ?. controles sobre los )rogramas los &(uipos: Caracter%sticas para detectar, de manera automtica, errores. Gacer mantenimientos pre+enti+os peridicos. )rocedimientos para salir de los errores de los e(uipos 0hard@are1. Control autori!acin adecuada en la implementacin de sistemas en las modificaciones de los mismos. Antono!!i , -ernardis , Ferrera , Rodas .A UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba A. Controles de acceso: $ir+en para detectar Co pre+enir errores accidentales o deliberados, causados por el uso o la manipulacin inadecuada de los ficheros de datos por el uso incorrecto o no autori!ado de los programas. F. Controles sobre los procedimientos los datos: 7anuales escritos como soporte de los procedimientos los sistemas de aplicacin. Controles de las conciliaciones entre los datos fuente los datos informticos. Capacidad para restaurar ficheros perdidos, deteriorados o incorrectos. b1 Controles de las Aplicaciones Los Controles de las aplicaciones estn relacionados con las propias aplicaciones informati!adas. Los controles bsicos de las aplicaciones son tres: captura, proceso salida. .. Controles sobre la captura de datos: Altas de mo+imientos. 7odificaciones de mo+imientos. Consultas de mo+imientos. 7antenimiento de los ficheros. 9. Controles de proceso. 8ormalmente se incluen en los programas. $e dise2an para detectar o pre+enir los siguientes tipos de errores: &ntrada de datos repetidos. )rocesamiento actuali!acin de fichero o ficheros e(ui+ocados. &ntrada de datos ilgicos. )erdida o distorsin de datos durante el proceso. ?. Controles de salida y distri,ucin. Los controles de salida se dise2an para asegurarse de (ue el resultado del proceso es e*acto (ue los informes dems salidas los reciben solo las personas (ue estn autori!adas. &n el proecto Cobit se establece una nue+a clasificacin, donde se afirma (ue e*isten tres ni+eles en las tecnolog%as de la Informacin a la hora de considerar la gestin de sus recursos: acti+idades Co tareas, procesos dominios. Actividades y 1areas !as actividades y las tareas son necesarias para alcanzar un resultado cuantifica,le !as actividades suponen un concepto cclico/ mientras .ue las tareas implican un concepto algo m3s discreto Antono!!i , -ernardis , Ferrera , Rodas .F UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba Procesos. Los procesos se definen como una serie de acti+idades o tareas unidas por interrupciones naturales 2ominios Los procesos se agrupan de forma natural dando lugar a los dominios, (ue se confirman, generalmente, como dominios de responsabilidad en las estructuras organi!ati+as de las empresas estn en l%nea con el ciclo de gestin aplicable a los procesos de las tecnolog%as de la Informacin Evaluacin de los controles internos &s funcin del auditor e+aluar el ni+el de control interno: tambi3n es de su responsabilidad 'u!gar si los procedimientos establecidos son los adecuados para sal+aguardar el sistema de informacin. La naturale!a la e*tensin de los controles (ue re(uieren los sistemas de proceso de datos +ariaran de acuerdo con la clase de sistemas en uso. &ontrol: normas, procedimientos, practicas estructuras organi!ati+as dise2adas para proporcionar seguridad ra!onable de (ue los ob'eti+os de las empresas se alcan!aran (ue los e+entos no deseados se pre+ern, se detectaran se corregirn. )ara e+aluar los controles es necesario buscar e+idencia sobre: La terminacin completa de todos los procesos. La separacin f%sica lgica de los programas fuentes ob'etos de las bibliotecas de desarrollo, de pruebas de produccin. La e*istencia de normas procedimientos para pasar los programas de una biblioteca a otra. Las estad%sticas de funcionamiento, donde al menos se inclua: 4 Capacidad utili!acin del e(uipo central de los perif3ricos. 4 /tili!acin de la memoria. 4 /tili!acin de las telecomunicaciones. Las normas del ni+el de ser+icios de los pro+eedores. Los estndares de funcionamiento interno. &l mantenimiento re+isin de los diarios de e*plotacin. La reali!acin del mantenimiento peridico de todos los e(uipos. La e+idencia de la rotacin de los turnos de los operadores de las +acaciones tomadas. Esta,lecimiento de #,jetivos &n funcin de la importancia de los riesgos (ue se haan detectado, el auditor establecer los ob'eti+os de la auditoria, cua determinacin concreta permitir definir con claridad el alcance de la misma. Antono!!i , -ernardis , Ferrera , Rodas .H UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba $e considera (ue el riesgo es la presentacin negati+a de un ob'eti+o de auditoria. $i la oracin negati+a se transforma en oracin afirmati+a, se tiene como resultado un ob'eti+o de control. )ara alcan!ar los ob'eti+os habr (ue dise2ar una serie de pruebas de cumplimiento sustanti+as. Cada una de esas pruebas es un procedimiento. Los procedimientos podr%an ser: a1 )ruebas de cumplimiento $i se confirma (ue no e*isten manuales, no se pueden hacer pruebas de cumplimiento, pues las pruebas de cumplimiento consisten en comprobar (ue se estn cumpliendo las normas establecidas. La ine*istencia de manuales no implica, (ue los traspasos se lle+an a cabo inadecuadamente. )ara confirmarlo, al no e*istir normas, se tendr%an (ue reali!ar pruebas sustanti+as. b1 )ruebas sustanti+as Re+isar las aplicaciones , si son pocas aplicaciones se re+isan todas: si son muchas se elige una muestra representati+a , (ue se han pasado de desarrollo a e*plotacin, re+isar (ue antes de pasarlas han sido sometidas a un lote de pruebas las han superado satisfactoriamente. Kue esas pruebas cumplen los re(uisitos estndares del sector. Kue el traspaso ha sido autori!ado por una persona con la suficiente autoridad. Planificacin Administrativa La planificacin administrati+a no se deber%a hacer hasta haber concluido la planificacin estrat3gica. &n esta fase de la planificacin pueden surgir ciertos problemas por coincidir las fechas de traba'o del personal de la empresa auditora con otros clientes. As% en esta etapa deben (uedar claros los siguientes aspectos: Evidencia. &n este punto se podr hacer una relacin con la documentacin disponible en la etapa anterior, documentacin (ue se utili!ara indicando el lugar donde se encuentra para (ue este a disposicin del e(uipo de auditoria. Personal. "e (ue personal se +a a disponer, (ue conocimientos e*periencia son ideales si +a a ser necesario o no contar con e*pertos, tanto personal de la empresa auditora como e*pertos e*ternos. Calendario. &stablecer la fecha de comien!o de finali!acin de la auditoria determinar donde se +a a reali!ar cada tarea: en las dependencias del cliente o en las oficinas del auditor. Coordinacin y Cooperacin. &s con+eniente (ue el auditor mantenga buenas relaciones con el DauditarioE, (ue se estable!ca, entre ambos, un ni+el de cooperacin sin (ue de'e de cumplirse el principio de independencia. Antono!!i , -ernardis , Ferrera , Rodas .I UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba Planificacin "%cnica &n esta ultima fase se ha de elaborar el programa de traba'o. &n la fase de planificacin estrat3gica se han establecido los ob'eti+os de la auditoria. &n la fase de planificacin administrati+a se han asignado los recursos de personal, tiempo, etc. en esta fase de planificacin t3cnica se indican los m3todos, los procedimientos, las herramientas las t3cnicas (ue se utili!an para alcan!ar los ob'eti+os de la auditoria. &l programa de auditoria debe ser fle*ible abierto, de tal forma (ue se puedan ir introduciendo cambios a medida (ue se +aa conociendo me'or el sistema me'or el sistema. &l programa el resto de los papeles de traba'o son propiedad del auditor. &ste no tiene la obligacin de mostrrselos a la empresa (ue se audita, debiendo custodiarlos durante el pla!o (ue mar(ue la le. "edicarle a la planificacin el tiempo necesario permite e+itar perdidas innecesarias de tiempo de recursos. R&ALINACI=8 "&L 6RA-AO< Objetivo 'eneral Asegurarse de .ue las funciones .ue sirven de apoyo a las tecnologas de la informacin se realizan con regularidad/ de forma ordenada/ y satisfacen los re.uisitos empresariales. Objetivos espec!ficos )ara alcan!ar el ob'eti+o general, se puede di+idir ese ob'eti+o en di+ersos ob'eti+os espec%ficos sobre los (ue se reali!aran las pruebas oportunas para asegurarse (ue el ob'eti+o general se alcan!a. &l es(uema de traba'o, para cada uno de los ob'eti+os es el siguiente: Comprender las tareas, las acti+idades del proceso (ue se esta auditando "eterminar si son o no apropiados los controles (ue estn instalados Gacer pruebas de cumplimiento para determinar si los controles (ue estn instalados funcionan seg#n lo establecido, de manera consistente continua. El o,jetivo de las prue,as de cumplimiento consiste en analizar el nivel de cumplimiento de las normas de control .ue tiene esta,lecidas el 4auditario5 Se supone .ue esas normas de control esta,lecidas son eficientes y efectivas Gacer pruebas sustanti+as para a(uellos ob'eti+os de control cuo buen funcionamiento con las pruebas de cumplimiento no nos ha satisfecho. El o,jetivo de las prue,as sustantivas consiste en realizar las prue,as necesarias so,re los datos para .ue proporcionen la suficiente seguridad a la direccin so,re si se &a alcanzado su o,jetivo empresarial Antono!!i , -ernardis , Ferrera , Rodas .J UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba La &*plotacin Informtica se ocupa de producir resultados informticos de todo tipo: listados impresos, ficheros soportados magn3ticamente para otros informticos, ordenes automati!adas para lan!ar o modificar procesos industriales, etc. La e*plotacin informtica se puede considerar como una fabrica con ciertas peculiaridades (ue la distinguen de las reales. )ara reali!ar la &*plotacin Informtica se dispone de una materia prima, los "atos, (ue es necesario transformar, (ue se someten pre+iamente a controles de integridad calidad. La transformacin se reali!a por medio del )roceso informtico, el cual est gobernado por programas. <btenido el producto final, los resultados son sometidos a +arios controles de calidad , finalmente, son distribuidos al cliente, al usuario. Auditar &*plotacin consiste en auditar las secciones (ue la componen sus interrelaciones. La &*plotacin Informtica se di+ide en tres grandes reas: )lanificacin, )roduccin $oporte 63cnico, en la (ue cada cual tiene +arios grupos. Control de Entrada de 2atos6 $e anali!ar la captura de la informacin en soporte compatible con los $istemas, el cumplimiento de pla!os calendarios de tratamientos entrega de datos: la correcta transmisin de datos entre entornos diferentes. $e +erificar (ue los controles de integridad calidad de datos se reali!an de acuerdo a 8ormas. Planificacin y Recepcin de Aplicaciones6 $e auditarn las normas de entrega de Aplicaciones por parte de "esarrollo, +erificando su cumplimiento su calidad de interlocutor #nico. "ebern reali!arse muestreos selecti+os de la "ocumentacin de las Aplicaciones e*plotadas. $e in(uirir sobre la anticipacin de contactos con "esarrollo para la planificacin a medio largo pla!o. Centro de Control y Seguimiento de 1ra,ajos6 $e anali!ar cmo se prepara, se lan!a se sigue la produccin diaria. -sicamente, la e*plotacin Informtica e'ecuta procesos por cadenas o lotes sucesi+os 0-atchP1, o en tiempo real 06iempo RealP1. 7ientras (ue las Aplicaciones de 6eleproceso estn permanentemente acti+as la funcin de &*plotacin se limita a +igilar recuperar incidencias, el traba'o -atch absorbe una buena parte de los efecti+os de &*plotacin. &n muchos Centros de )roceso de "atos, 3ste rgano recibe el nombre de Centro de Control de -atch. &ste grupo determina el 3*ito de la e*plotacin, en cuanto es uno de los factores ms importantes en el mantenimiento de la produccin. P-atch 6iempo Real: Las Aplicaciones (ue son -atch son Aplicaciones (ue cargan mucha informacin durante el d%a durante la noche se corre un proceso enorme (ue lo (ue hace es relacionar toda la informacin, calcular cosas obtener como salida, por e'emplo, reportes. < sea, recolecta informacin durante el d%a, pero toda+%a no procesa nada. &s solamente un tema de Q"ata &ntrQ (ue recolecta informacin, corre el proceso -atch 0por lotes1, calcula todo lo necesario para arrancar al d%a siguiente. Antono!!i , -ernardis , Ferrera , Rodas .L UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba Las Aplicaciones (ue son 6iempo Real u <nline, son las (ue, luego de haber ingresado la informacin correspondiente, inmediatamente procesan de+uel+en un resultado. $on $istemas (ue tienen (ue responder en 6iempo Real. #peracin Salas de #rdenadores6 $e intentarn anali!ar las relaciones personales la coherencia de cargos salarios, as% como la e(uidad en la asignacin de turnos de traba'o. $e +erificar la e*istencia de un responsable de $ala en cada turno de traba'o. $e anali!ar el grado de automati!acin de comandos, se +erificara la e*istencia grado de uso de los 7anuales de <peracin. $e anali!ar no solo la e*istencia de planes de formacin, sino el cumplimiento de los mismos el tiempo transcurrido para cada <perador desde el #ltimo Curso recibido. $e estudiarn los monta'es diarios por horas de cintas o cartuchos, as% como los tiempos transcurridos entre la peticin de monta'e por parte del $istema hasta el monta'e real. $e +erificarn las l%neas de papel impresas diarias por horas, as% como la manipulacin de papel (ue comportan. Centro de Control de Red y Centro de 2iagnosis6 &l Centro de Control de Red suele ubicarse en el rea de produccin de &*plotacin. $us funciones se refieren e*clusi+amente al mbito de las Comunicaciones, estando mu relacionado con la organi!acin de $oft@are de Comunicaciones de 63cnicas de $istemas. "ebe anali!arse la fluide! de esa relacin el grado de coordinacin entre ambos. $e +erificar la e*istencia de un punto focal #nico, desde el cual sean perceptibles todos las l%neas asociadas al $istema. &l Centro de "iagnosis es el ente en donde se atienden las llamadas de los usuarios4clientes (ue han sufrido a+er%as o incidencias, tanto de $oft@are como de Gard@are. &l Centro de "iagnosis est especialmente indicado para informticos grandes con usuarios dispersos en un amplio territorio. &s uno de los elementos (ue ms contribuen a configurar la imagen de la Informtica de la empresa. "ebe ser auditada desde esta perspecti+a, desde la sensibilidad del usuario sobre el ser+icio (ue se le dispone. 8o basta con comprobar la eficiencia t3cnica del Centro, es necesario anali!arlo simultneamente en el mbito de /suario. &l auditor deber%a haber reali!ado las suficientes pruebas sobre los resultados de las distintas tareas acti+idades de la e*plotacin del sistema de informacin como para poder concluir si los ob'eti+os de control se han alcan!ado o no. Con esa informacin se debe elaborar un informe si procede hacer las recomendaciones oportunas. Antono!!i , -ernardis , Ferrera , Rodas 9M UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba Actividad: >rilla 4 Resolucin . ) R < > R A 7 A 9 I R R & > / L A R I " A " & $ ? C < 8 F I " & 8 C I A L I " A " A & F & C 6 I 5 I " A " F & $ 6 R A 6 & > I C A H C < 8 6 R < L & $ I L I - R & R I A $ J $ & > / R I " A " L A ) L I C A C I < 8 . M ) R < C & " I 7 I & 8 6 < $ . . F R A / " & . 9 ) R < C & $ < $ . ? / $ / A R I < $ . A R & C / R $ < $ . F & X ) L < 6 A C I < 8 & $ . H " < C / 7 & 8 6 A C I < 8 . I I 8 F < R 7 A 6 I C A . J A / 6 < 7 A 6 I C < $ . L & 8 C / & $ 6 A Referencias: .4 )arte del plan de traba'o (ue debe adaptarse a las caracter%sticas de una aplicacin. 94 RKu3 buscan detectar las pruebas sustanti+as o de +alidacinS ?4 Aspecto amena!ado, principalmente por el uso de Internet. A4 Aspecto mas importante del sistema para conseguir los ob'eti+os beneficios esperados. F4 )rimera fase considerada en la )lanificacin &strat3gica. H4 5erificaciones pre+enti+as, detecti+as correcti+as. I4 Lugar donde solo puede tener acceso e*plotacin 0)lural1. J4 Aspecto a re+isar en una aplicacin. Antono!!i , -ernardis , Ferrera , Rodas 9. UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS Facultad Regional Crdoba L4 $oft@are utili!ado por la empresa. .M4 7anual (ue brinda informacin para auditar el sistema. ..4 A(uello (ue busca detectar el auditor a tra+3s del control de procesos e'ecuciones de programas cr%ticos. .94 $erie de acti+idades o tareas unidas por interrupciones naturales. .?4 R A (uien busca satisfacer una aplicacin eficiente bien desarrolladaS 0plural1. .A4 7edios utili!ados para detectar indicios de posibles errores. .F4 Auditoria (ue busca asegurar (ue las funciones (ue sir+en de apoo a las tecnolog%as de la informacin se reali!an con regularidad, de forma ordenada, satisfacen los re(uisitos empresariales. .H4 <tro de los aspectos a re+isar en una aplicacin. .I4 Informacin automati!ada. .J4 6ipo de control interno de una aplicacin informtica 0plural1. .L4 /na de las herramientas mas comunes usadas en la auditoria de una aplicacin. (!labas) a, as, au, bre, ca, ca, ca, ce, ce, cia, cio, cin, cin, con, con, cos, cu, cues, cur, da, dad, dad, dad, de, den, des, di, do, e, en, es, e*, fec, fi, for, frau, gi, gra, gu, gu, i, in, la, les, li, li, ma, m, m, men, mien, nes, pli, plo, pro, pro, pro, re, ri, ri, r%, rios, rre, se, sos, sos, sua, ta, ta, ta, t3, ti, ti, ti, to, tos, tra, tro, u, +i. Antono!!i , -ernardis , Ferrera , Rodas 99